Академический Документы
Профессиональный Документы
Культура Документы
Es. 1 Se state creando una mailing list dei membri della vostra organizzazione
(riportando per esempio il loro nome, la loro et, la mail e loccupazione), state trattando
i loro dati personali.
Es. 2 Se raccogliete i dati di traffico di coloro che visitano il vostro sito web (per esempio
tramite lutilizzo di web cookies), in modo da poter proporre agli utenti una pubblicit
personalizzata, state trattando i loro dati personali.
Es. 3 Se avete chiesto ai vostri clienti di darvi il loro nome, cognome, numero di telefono
o indirizzo per potergli consegnare una carta fedelt, state trattando i loro dati personali.
Vi sono molteplici tipologie di trattamento (es. trattamento in ambito sanitario,
trattamento negli studi professionali, trattamento per finalit scientifica, statistica o
storica), che sono associate a diversi livelli di tutela.
dunque consigliabile avere ben presente quale tipologia di trattamento la vostra
attivit sta effettuando, per essere certi di applicare il giusto livello di tutela della
privacy.
Es. 1 Se avete chiesto ad un cliente di condividere con voi informazioni riguardanti la sua
vita privata e le sue azioni per poterlo assistere in sede giudiziale, state trattando i suoi
dati nel contesto di uno studio professionale.
Es. 2 Se avete chiesto ad un paziente di parlarvi del suo storico a livello sanitario, ed
avete prescritto ed effettuato analisi e/o interventi, state trattando i suoi dati in ambito
sanitario.
-
Viene nominato tramite un contratto di mandato, che dovr essere sottoscritto per
accettazione (il soggetto nominato deve accettare la nomina perch questa sia efficace).
La nomina normalmente a tempo indeterminato ed a titolo oneroso. Quindi, se non
intendete pagare il responsabile, dovrete specificarlo per iscritto nellatto. Potrete
revocarlo o sostituirlo in qualunque momento e senza preavviso, a vostro insindacabile
giudizio!
In che cosa il responsabile del trattamento si distingue dal titolare? Il titolare deve
richiedere espressa autorizzazione allinteressato per procedere al trattamento dei dati,
laddove il responsabile non chieder tale consenso. Questo perch il responsabile lavora
su incarico, e si considera che il consenso sia gi stato prestato. Ovviamente, il
responsabile dovr attenersi ai limiti ed alle condizioni imposte al titolare, almeno se
vuole evitare di incorrere in responsabilit individuali.
Attenzione! Il testo del Regolamento stabilisce che: il responsabile del trattamento
risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi che il
Regolamento ha specificatamente diretto ai responsabili del trattamento o ha agito in
modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Dunque, anche se in generale il responsabile del trattamento condivide gli obblighi
del titolare (deve offrire le stesse garanzie di sicurezza, dato che esercita un effettivo
controllo sulla circolazione dei dati), allo stesso tempo non deve stabilire le finalit
ed i mezzi del trattamento, poich lavora su commissione del titolare. Questultimo
per lascia spesso decidere al responsabile quali mezzi usare, il che rende in potenza
possibile considerarlo a sua volta titolare.
Deve essere nominato con una lettera di designazione, tramite cui il titolare/responsabile
gli attribuisce delle specifiche mansioni. La lettera non ha natura contrattuale, e basta
che sia controfirmata dal soggetto designato per presa visione o conoscenza.
Attenzione! Deve essere chiaro, dal contenuto della lettera, a quali categorie di dati
lincaricato avr accesso. La nomina OBBLIGATORIA: difatti, dato che autorizza
formalmente i dipendenti al trattamento dei dati, in sua assenza questi ultimi si
devono considerare come terzi soggetti, a cui lazienda/organizzazione trasmette dei
dati personali senza lautorizzazione dellinteressato (la qual cosa un illecito, e pu
comportare linsorgere di reclami e/o sanzioni).
Strategia da adottare:
il modo pi semplice di specificare le categorie di dati cui gli incaricati del trattamento
hanno accesso creare un vero e proprio mansionario, applicabile a tutti i soggetti che
lavorano sui dati raccolti dallazienda.
10
B. Delineare il profilo del titolare dei dati trattati (da non confondere con il titolare
DEL TRATTAMENTO!). Questa operazione essenziale, e molto pi complessa di
quanto si potrebbe pensare.
Fondamentale perch nel processare i dati di un soggetto bisogna avere ben
chiaro chi la persona con cui si ha a che fare, per poter valutare:
- Quali sono i suoi interessi principali rispetto al trattamento dei suoi dati?
maggiorenne o un minore? Rifiuta completamente lidea del trasferimento
dei dati a terzi oppure disinteressato?
- Vi pu essere un interesse sociale alla diffusione dei suoi dati? Questo vale
principalmente per coloro che processano dati personali nel contesto
delleditoria. Infatti, in presenza di un interesse sociale alla conoscenza delle
informazioni riguardanti una data persona, questultima viene parzialmente
privata di alcuni suoi diritti)
12
15
FONDAMENTALE
LA
VALUTAZIONE
DELLIMPATTO
SULLA PRIVACY!!
Curiosit: alcuni argomenti scottanti che riguardano la privacy sul posto di lavoro:
- social network: i dipendenti spesso utilizzano i social anche sul posto
di lavoro. C stato un lungo dibattito riguardante la possibilit per il datore
di lavoro di controllare laccesso a queste piattaforme, prendendo
provvedimenti disciplinari una volta verificato il diffuso utilizzo dei social
in orario dufficio. Ad oggi, se ci si vuole assicurare che i propri dipendenti
siano sanzionabili in tal senso senza venire accusati (spesso anche in sedi
giurisdizionali) di aver violato la loro privacy, necessario (e sicuramente
pi prudente) includere una specifica clausola contrattuale al momento
dellassunzione.
e-mail: capita spesso che la mail aziendale venga utilizzata per scopi
privati, talvolta illeciti. Allo stesso tempo, un problema per il datore
di lavoro accedere alla mail dei dipendenti senza venire tacciato di
invadere la loro privacy. Anche in questo caso prudente e necessario
introdurre una specifica clausola contrattuale, accompagnata in questo
caso da un mezzo di screening elettronico in grado di rintracciare ogni
attivit illecita svolta dagli account aziendali, permettendo
lidentificazione dellautore.
3.
Premessa n1:
- Che cosa significa trasferimento di dati: tale trasferimento si verifica quando
dei dati raccolti e/o conservati su server situati in uno Stato membro dellUE
sono trasferiti per essere conservati in server siti in un Paese extra-europeo. La
disciplina di questo tipo di operazione non determinata solo dal Regolamento in
oggetto, ma anche da accordi internazionali tra lUnione ed i singoli Paesi terzi
(es. Privacy Shield, accordo UE - USA).
Premessa n2:
- La portabilit del dato: (Art.20 Regolamento) il diritto alla portabilit dei dati
consiste nel diritto di ricevere i dati di cui si consentito il trattamento in
formato semplice e leggibile tramite dispositivi elettronici, e di chiederne il
trasferimento automatizzato da un titolare del trattamento ad un altro (laddove
tecnicamente possibile).
INTRODOTTO DAL REGOLAMENTO, questo diritto rimane in ogni caso
appannaggio dellinteressato (che pu esercitarlo fintanto che non vada a ledere diritti
o libert altrui), e non pregiudica lesercizio del diritto alla cancellazione/oblio (Art.
17 Regolamento).
Le operazioni di trasferimento dei dati verso Paesi terzi (estranei sia al rapporto
contrattuale che lega il titolare e linteressato del trattamento sia al sistema
17
18
19
4.
Designazione:
- i Gruppi di imprese possono nominarne uno solo, ma questi deve essere
raggiungibile da tutti gli stabilimenti.
Questo significa che un grande gruppo (come Google) che processa una enorme
quantit di dati in tutto il mondo, non potr de facto nominare un solo DPO,
poich questi sarebbe oberato di lavoro, e non potrebbe svolgere efficacemente il
suo lavoro. Per contro, un gruppo di medie o piccole imprese situate sullo stesso
territorio potrebbe risparmiare tempo e risorse nominando un DPO comune.
- le autorit/organismi pubblici possono nominarne uno solo, tenendo per sempre
conto della loro dimensione e della loro struttura organizzativa.
Quindi anche le autorit e gli organismi pubblici devono conformarsi al
regolamento, provvedendo alla nomina del DPO indipendentemente dal fatto che
il trattamento avvenga su larga scala o meno.
-
Come sceglierlo?
consigliare lazienda con pi facilit (almeno per quanto riguarda la redazione del
codice di condotta, le valutazioni dimpatto e ladattamento generale del sistema alle
novit del Regolamento). Per contro, avr bisogno di un periodo di formazione molto
pi consistente rispetto ad un professionista esterno (che per offrirsi come responsabile
dovr per forza di cose essere in possesso delle competenze e della professionalit
richieste).
Per quanto riguarda invece il professionista esterno, questi sicuramente avr un livello
di professionalit superiore, ma per contro non avr conoscenza alcuna dellazienda e
dei meccanismi che ne regolano il funzionamento, quindi dovr o essere affiancato da
un dipendente (il quale dovr essere formato) o essere istruito su tali meccanismi. Potr
per garantire un pi alto livello di indipendenza (intesa come operativit non
influenzata da istruzioni ricevute dal responsabile del trattamento). Il rovescio della
medaglia che la sua fedelt allazienda molto meno pronunciata, quindi sar pi
complicato garantire il segreto e la riservatezza nello svolgimento delle sue funzioni.
Per la formazione: lUnione e gli Stati membri stanno creando dei veri e propri
meccanismi di certificazione, che permettano alle aziende di provare che il
proprio responsabile ha il giusto livello di competenza, indipendenza e
professionalit.
La certificazione avr valenza triennale (rinnovabile alle stesse condizioni se
permangono i requisiti), e potr essere rilasciata da:
- lautorit di controllo;
- lorganismo nazionale di accreditamento designato dal regolamento (CE)
n. 765/2008 del Parlamento europeo e del Consiglio;
- gli organismi di certificazione in possesso del livello adeguato di
competenze riguardo alla protezione dei dati.
Questi ultimi saranno accreditati solo se dimostrano in modo convincente
all'autorit di controllo competente di essere indipendenti e competenti
riguardo al contenuto della certificazione; si impegnano a rispettare i
criteri indicati dall Art. 42 del Regolamento; istituiscono procedure per il
rilascio, il riesame periodico e il ritiro delle certificazioni, dei sigilli e dei
marchi di protezione dei dati; istituiscono procedure e strutture atte a
gestire i reclami relativi a violazioni della certificazione o il modo in cui la
certificazione stata o attuata dal titolare del trattamento o dal
responsabile del trattamento e a rendere dette procedure e strutture
trasparenti per gli interessati e il pubblico; dimostrano in modo
convincente all'autorit di controllo competente che i compiti e le funzioni
da loro svolti non danno adito a conflitto di interessi.
Quindi, nello scegliere lente presso cui ottenere la certificazione di adeguatezza e
professionalit, si dovr fare molta attenzione al rispetto dei requisiti e dei criteri
stabiliti dalla lettera del Regolamento (Art.42).
23
Che cos? introdotta per la prima volta dal Regolamento, la valutazione (pi o
meno dettagliata a seconda delle richieste del legislatore) dei rischi e delle
conseguenze che il trattamento dei dati personali entro determinati parametri
potrebbe comportare.
ovvio che limpatto sulla protezione dei dati personali del trattamento effettuato dal
titolare/responsabile sar diverso in ogni caso di specie. Questo imporrebbe di
effettuare la valutazione ogni volta che lazienda desideri procedere a tale trattamento,
il che sarebbe molto costoso e difficile (nonch ripetitivo). Forse per questo che il
Regolamento ha previsto che trattamenti con conseguenze analoghe possano essere
valutati insieme (Art. 35 Regolamento). In questottica, ha anche elencato una serie di
casi in cui la valutazione richiesta e necessaria:
- Valutazione sistematica e globale di aspetti personali relativi a persone fisiche,
basata su un trattamento automatizzato di dati riguardanti la personalit di
persone fisiche da cui possano discendere decisioni con conseguenze
giuridiche capaci di incidere in modo significativo sugli interessati;
- Trattamento (SU LARGA SCALA) dei dati relativi a condanne penali o alle
origini razziali, le opinioni politiche o religiose, il sesso o lorientamento
sessuale (vedi art.9 del Regolamento);
- Sorveglianza sistematica di una zona accessibile al pubblico su larga scala.
Attenzione! Lautorit di controllo dovr redigere un elenco delle tipologie di
trattamento per cui la valutazione indispensabile (redigendone unaltra per cui
in linea di massima non richiesta), quindi fondamentale tenersi aggiornati su
24
questi sviluppi! importante farlo sia nella fase di avviamento che successivamente,
per non perdere eventuali novit.
- Quali sono gli elementi base della valutazione?
Secondo quanto previsto dal Regolamento stesso (Art. 35), il Privacy Impact
Assessment deve contenere ALMENO:
- una descrizione sistematica dei trattamenti previsti e delle finalit
del trattamento, compreso, se del caso, l'interesse legittimo
perseguito dal titolare del trattamento;
- una valutazione della necessit e proporzionalit dei trattamenti
in relazione alle finalit;
- una valutazione dei rischi per i diritti e le libert degli interessati;
e
- le misure previste per affrontare i rischi, includendo le garanzie,
le misure di sicurezza e i meccanismi per garantire la protezione
dei dati personali e dimostrare la conformit al presente
Regolamento, tenuto conto dei diritti e degli interessi legittimi
degli interessati e delle altre persone in questione.
Si deve poi tenere conto del rispetto del codice di condotta stabilito dallazienda,
chiedendo quando possibile agli interessati le loro opinioni sul trattamento in
questione.
- Quali aziende devono farlo obbligatoriamente?
Deve essere effettuata da qualunque azienda, ogni qualvolta questa si trovi nella
posizione di diventare titolare/responsabile di un trattamento di dati personali che
presenti un rischio elevato per i diritti e le libert dellinteressato persona fisica.
Attenzione! A differenza di quanto previsto per la nomina del Privacy Officer, lo
svolgimento della valutazione imposto a tutte le imprese/organizzazioni, fintanto
che svolgono la funzione di titolari/responsabili del trattamento.
- Come effettuarlo al meglio?
Effettuare la valutazione al meglio importante, non solo per conformarsi al
Regolamento, ma anche (e soprattutto) per assicurare un certo livello di coerenza ed
efficienza interne allazienda. Una efficace valutazione dellimpatto sulla riservatezza
permetter infatti di avere una maggiore consapevolezza del rapporto rischio/beneficio
insito in ciascuna operazione.
Strategia da adottare:
innanzitutto fondamentale verificare che la valutazione sia stata fatta nel rispetto del
contenuto minimo previsto ex Art.35.
poi importante rivalutare la coerenza e ladeguatezza della valutazione nel tempo (e
la sua corrispondenza alle effettive modalit di trattamento), per verificare che non
insorgano variazioni del rischio.
Attenzione! No valutazione (a meno che non sia esplicitamente previsto dallo
Stato membro di riferimento) per i trattamenti di dati imposti da un obbligo
legale del titolare/responsabile o dallinteresse pubblico (o dalla connessione con
lesercizio di pubblici poteri).
25
26
6.
Procedere al trattamento dei dati personali degli utenti persone fisiche pu portare la
vostra azienda/organizzazione a dover far fronte ad un reclamo, che pu essere
presentato presso:
- le autorit giurisdizionali. Il ricorso a tali autorit sar dobbligo qualora
linteressato voglia chiedere il risarcimento del danno. In questo caso vigono le
norme procedurali dello Stato presso le cui autorit il caso stato presentato;
- lautorit garante della privacy dello Stato membro di residenza dellinteressato o nel
quale la violazione della privacy ha avuto luogo.
Per quanto riguarda le possibilit di presentare ricorso contro una decisione
dellautorit, si deve innanzitutto partire da un fondamentale presupposto: secondo il
Regolamento, qualsiasi persona fisica O GIURIDICA pu proporre ricorso
giurisdizionale contro una decisione vincolante dellautorit di controllo che la
riguarda.
Questo ricorso si pu proporre in due casi:
- lautorit ha preso una decisione
contestabile;
- lautorit non ha trattato il reclamo entro 3 MESI,
o non ha proceduto ad informare gli interessati
(con la stessa scadenza) dellesito del reclamo.
Per le persone giuridiche, a rilevare solo il primo caso (perch chiaramente non
saranno loro a presentare il reclamo riguardante la violazione delle norme sulla
privacy).
27
Ma cosa accade in pratica se una persona giuridica (es. unazienda che risulta
essere responsabile del trattamento dei dati di un soggetto) vuole proporre il
ricorso? Il Regolamento non entra nei particolari, limitandosi a dire che:
- il ricorso deve essere proposto presso le autorit giurisdizionali nazionali;
- lautorit di controllo deve trasmettere il parere/la decisione eventualmente
emessi dal Comitato europeo per la protezione dei dati.
Si pu quindi ragionevolmente supporre che i termini e le modalit di ricorso
siano quelli previsti dalle procedure dei singoli Stati membri.
28